Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- howto:android:geraetesicherheit [2022/03/21 12:13] – [Bootloader-Entsperrung und verifizierter Boot] umstrukturiert und typos yadda
+++ howto:android:geraetesicherheit [2022/03/22 11:18] – Kapitel bootloader aufgeteilt yadda
@@ Zeile 1: / Zeile 1: @@
-====== Betriebssystem und Gerät für ein google-freies Android auswählen ======
+====== Infos zur (Geräte-)Sicherheit von google-freien Androids ======
 Diese Seite sammelt einige Überlegungen zu Sicherheit und Nutzbarkeit bei der Auswahl des passenden Gerätes für ein google-freies Android-Smartphone und sammelt Empfehlungen für google-freie Android-Betriebssysteme
@@ Zeile 42: / Zeile 42: @@
 <note tip>Um die [[https://www.coronawarn.app/de/|Corona-Warn-App des Robert-Koch-Institutes]] zu benutzen sind Google-Play-Services oder alternativ microG nicht mehr nötig. Mit [[https://f-droid.org/packages/de.corona.tracing/|Corona Contact Tracing Germany]] steht bei FDroid ein Fork der Corona-Warn-App zur Verfügung, bei dem die nötige Contact-Tracing-Schnittstelle direkt in der App selbst eingebaut ist.</note>
-==== Bootloader-Entsperrung und verifizierter Boot ====
+==== Bootloader-Entsperrung ====
 Der Bootloader ist ein kleines Stück Software, das dafür zuständig ist beim Einschalten das installierte Betriebssystem zu starten. Um auf einem Gerät ein alternatives Betriebssystem zu installieren, ist es in der Regel nötig den Bootloader dafür zu entsperren. Die Entsperrung ist nicht vor dem Boot möglich, sondern erst nachdem man das Telefon gestartet hat, kann nach Eingabe der PIN die Entsperrung in den Systemeinstellungen erlaubt werden werden.
@@ Zeile 49: / Zeile 49: @@
 <note important>Nur manche Geräte erlauben es, den Bootloader nach erfolgreicher Installation eines alternativen Betriebssystems wieder zu sperren. Ein entsperrter Bootloader hinterlässt ein Gerät mit einer Sicherheitslücke: Da der Bootloader bereits entsperrt ist, könnte jemand mit physischem Zugriff auf das Gerät unbemerkt zusätzliche (Schad-)Software auf dem Gerät installieren. Auch ein sogenannter //[[https://de.wikipedia.org/wiki/Kaltstartattacke|Cold Boot Attack]]// ist denkbar: Mit diesem kann die Geräteverschlüsselung eines eingeschalteten aber gesperrten Gerätes potenziell umgangen werden.</note>
+==== Verifizierter Boot ====
 Bei moderneren Smartphones hat der Bootloader zusätzlich die Aufgabe, das für den Start vorgesehene Betriebssystem auf seine Integrität und Echtheit zu überprüfen. So soll ausgeschlossen werden, dass die Kernfunktionen des Betriebssystems seit Auslieferung manipuliert oder beschädigt wurden. Für diese Prüfung ist das Betriebssystem vom Hersteller mit einer kryptografischen Signatur gekennzeichnet. Der Bootloader überprüft, ob die Signatur übereinstimmt ist und vom Hersteller stammt.
@@ Zeile 63: / Zeile 65: @@
 Grundsätzlich sind Smartphones, die über eine Hardware-basierte Limitierung von PIN-Eingaben verfügen, dadurch sicherer als andere. Gleichzeitig ist ein solcher Hardware-Chip kein Wundermittel, sondern eine sehr komplexe und von Menschen gemachte Technologie, deren Architektur oder Implementation potenziell Sicherheitslücken aufweisen könnte.
-----
-===== Empfohlene google-freie Custom-ROMs =====
-==== GrapheneOS ====
-{{ :howto:android:grapheneos-logo.png?nolink&60|}}
-Eine alternatives Android mit Fokus auf Stabilität und Sicherheit: [[https://grapheneos.org/|GrapheneOS]] enthält unter der Haube viele Anpassungen, die das ausnutzen von Sicherheitslücken durch Angreifer:innen erschweren sollen. Manche dieser Anpassungen können allerdings dazu führen, dass manche Apps nicht auf GrapheneOS funktionieren. Sicherheitsupdates werden sehr schnell bereitgestellt.
-==== CalyxOS ====
-{{ :howto:android:calyxos-logo.jpg?nolink&60|}}
-[[https://calyxos.org/|CalyxOS]] erbt einige der Sicherheits-Features von GrapheneOS, verzichtet aber auf manche Sicherheits-Features und hat //microG// vorinstalliert, um eine größere Kompatibilität mit Apps zu ermöglichen. Es ist nicht nur auf Sicherheit, sondern auch auf Benutzerfreundlichkeit ausgelegt. Apps wie F-Droid, Tor Browser, Signal Messenger und RiseupVPN sind bereits vorinstalliert. Eine gute Auswahl, wenn das Telefon "einfach nur funktionieren" soll.
-<note>GrapheneOS und CalyxOS sind nur für die neueren //Google Pixel// Geräte verfügbar.
-Diese enge Auswahl wird damit begründet dass diese Geräte vom Hersteller zuverlässig mit mit Sicherheitsupdates versorgt werden und das erneute [[#bootloader-entsperrung_und_verifizierter_boot|Sperren des Bootloaders und verifizierten Boot]] unterstützen. Außerdem verfügen alle Pixel-Geräte seit Pixel 3 über einen Hardware-Chip für die [[#hardware-basierte_limitierung_von_pin-eingaben|Limitierung von fehlerhaften PIN-Eingaben]].</note>
-==== LineageOS ====
-{{ :howto:android:lineageos-logo.png?nolink&60|}}
-[[https://lineageos.org/|Lineage]] ist die am meisten verbreitete Custom-ROM. Sie wird von einer großen open-source community gepflegt und unterstützt eine Vielzahl von Geräten. Es wird wöchentlich mit Updates versorgt. Es ist nach der Erstinstallation sehr minimalistisch eingerichtet: Selbst einen App-Store wie F-Droid oder Aurora muss man selbst nachinstallieren.
-Eine allgemeine Liste unterstützter Geräte ist in ihrem [[https://wiki.lineageos.org/devices/|Wiki]]. Auf https://lineageosdevices.com/ kann man gezielt mit Suchkriterien wie z.B. Displaygröße das passende Gerät finden.
-==== LineageOS for microG ====
-{{ :howto:android:lineage-microg-logo.png?nolink&60|}}
-[[https://lineage.microg.org/|LineageOS for microG]] ist eine minimal angepasste Version von Lineage, auf der microG und F-Droid vorinstalliert sind. Unterstützt werden alle Geräte, für die Lineage verfügbar ist. Auch für //LineageOS for microG// gibt es regelmäßige Updates.
-==== /e/ ====
-{{ :howto:android:e_os-logo.jpg?nolink&60|}}
-//[[https://e.foundation|/e/]]// ist ein ein //Fork//, d.h. eine modifizierte Version, von LineageOS: Es kommt mit einem eigenen App-Store, über den sowohl Apps von F-Droid als auch Google Play installiert werden können, microG und weiteren vorinstallierten Apps. Gute Wahl, wenn man ein benutzer:innenfreundliches Android möchte, das gleich nach der Installation "einfach funktioniert”.
-Es werden mehr Geräte unterstützt als zurzeit von LineageOS ([[https://doc.e.foundation/devices/|Geräteliste]]). Für manche Geräte sind nur auf Android 7 basierte Versionen verfügbar, die aufgrund der oben genannten Gründe nur bedingt empfehlenswert sind.
-<note important>Bei den meisten Geräten, die für LineageOS oder dessen //Forks// geeignet sind, ist es nicht möglich, den Bootloader nach der Installation wieder zu sperren. Ein zusätzlich auch noch verifizierter Bootvorgang wird unabhängig vom Gerät grundsätzlich nicht unterstützt. Wie [[#bootloader-entsperrung_und_verifizierter_boot|oben]] erklärt ist das ein Abstrich in der Sicherheit des Gerätes</note>
-==== DivestOS ====
-[[https://divestos.org/index.php|DivestOS]] ist ein weiterer LineageOS-Fork mit Fokus auf Sicherheit und //freie Software//. Im Gegensatz zu LineageOS kann bei DivestOS mit einem [[#bootloader-entsperrung_und_verifizierter_boot|verifizierter Bootloader]] genutzt werden, **sofern** die Hardware dies unterstützt. Die Kopierschutz-Technologie [[https://de.wikipedia.org/wiki/Digitale_Rechteverwaltung|Digital-Rights-Management]] ist in DivestOS deaktiviert: Apps wie Spotify oder Netflix, die diese nutzen, funktionieren daher nicht.
-DivestOS unterstützt viele Geräte, deren aktuelles Builds aber nicht immer getested sind. Die [[https://divestos.org/index.php?page=devices&base=LineageOS|Geräteübersicht]] gibt einen Überblick, wie zuverlässig DivestOS auf verschiedenen Geräten läuft und ob diese Geräte Features wie Bootloader-Relock oder verifizierten Boot unterstützen oder nicht.